ホームページ日記

Ｈ１４年９月１４日：自宅サーバアタックの犯人は？(Whois検索)

以前、自宅サーバがアタックされている事を書きました。そこで、ログ情報から、犯人探しをやってみました。結果的には、犯人が利用しているプロバイダまでしか判りませんでしたが、経緯を紹介します。

【その１】
エラーログの記録からIPアドレスは「61.74.69.145」である事が判ります。インタネットには、IPアドレスから、所属するドメインを検索できる「Whoisサービス」と言うものがあります。Webから簡単に検索できるサービスがあるので、まずはそれを使ってみました。以下のページで「IP or ドメイン」にIPアドレスを記入して、「IPドメインSEARCH」を実行します。

・IPドメインSEARCH

残念ながら結果は、「This IP address range is not registered in the ARIN database.」との事で、期待した情報は得られませんでした。

【その２】
次に、複数のWhoisサーバーに連続して問合せができるWhoisクライアント(フリーソフト)「Snoop Whois 」を使ってみました。インストールは、圧縮ファイルを展開するだけです。「WHOIS連続検索」にチェックを入れて検索したところ、いくつかのWhoisサーバに検索が行われた後、以下の結果が得られました。韓国のプロバイダ「KORNET」を利用している様です。プロバイダから払い出されたIPアドレスなので、これ以上の追求はできませんでした。犯人特定には至りませんでしたが、出所が少し見えたので少しは安心です。
whois -h whois.apnic.net 61.74.69.145 inetnum: 61.72.0.0 - 61.77.255.255 netname: KORNET descr: KOREA TELECOM descr: KOREA TELECOM Internet Operating Center country: KR admin-c: DL276-AP tech-c: WK81-AP remarks: ****************************************** remarks: Allocated to KRNIC Member. remarks: If you would like to find assignment remarks: information in detail please refer to remarks: the KRNIC Whois Database at: remarks: http://whois.nic.or.kr/english/index.html remarks: ****************************************** mnt-by: MNT-KRNIC-AP mnt-lower: MNT-KRNIC-AP changed: hostmaster@apnic.net 20001212 changed: hostmaster@apnic.net 20010627 status: ALLOCATED PORTABLE source: APNIC person: Dongjoo Lee address: Korea Telecom address: 128-9 Youngundong Chongroku address: SEOUL address: 463-711 country: KR phone: +82-2-747-9213 fax-no: +82-2-766-5901 e-mail: ip@ns.kornet.net nic-hdl: DL276-AP mnt-by: MNT-KRNIC-AP changed: hostmaster@nic.or.kr 20010523 source: APNIC person: Won Kang address: Korea Telecom address: 128-9 Youngundong Chongroku address: SEOUL address: 463-711 country: KR phone: +82-2-747-9213 fax-no: +82-2-766-5901 e-mail: ip@ns.kornet.net nic-hdl: WK81-AP mnt-by: MNT-KRNIC-AP changed: hostmaster@nic.or.kr 20010523 source: APNIC inetnum: 61.74.69.0 - 61.74.69.255 netname: KORNET-IDC-JUNGANG-KTIDC-KR descr: CENTRAL DATA COMMUNICATION OFFICE descr: 128-9 YEUNKEONDONG JONGROKU descr: SEOUL descr: 110-460 country: KR admin-c: GP72-KR tech-c: WK96-KR remarks: This IP address space has been allocated to KRNIC. remarks: For more information, using KRNIC Whois Database remarks: whois -h whois.nic.or.kr mnt-by: MNT-KRNIC-AP remarks: This information has been partially mirrored by APNIC from remarks: KRNIC. To obtain more specific information, please use the remarks: KRNIC whois server at whois.krnic.net. changed: hostmaster@nic.or.kr 20020909 source: KRNIC person: GilSoon Park descr: KOREA TELECOM descr: 128-9 Youngundong Chongroku descr: SEOUL descr: 110-460 country: KR phone: +82-2-747-9213 fax-no: +82-2-766-5901 e-mail: gspark@kornet.net nic-hdl: GP72-KR mnt-by: MNT-KRNIC-AP remarks: This information has been partially mirrored by APNIC from remarks: KRNIC. To obtain more specific information, please use the remarks: KRNIC whois server at whois.krnic.net. changed: hostmaster@nic.or.kr 20020909 source: KRNIC person: Won Kang descr: KOREA TELECOM descr: 128-9 Youngundong Chongroku descr: SEOUL descr: 110-460 country: KR phone: +82-2-747-9213 fax-no: +82-2-766-5901 e-mail: ip@ns.kornet.net nic-hdl: WK96-KR mnt-by: MNT-KRNIC-AP remarks: This information has been partially mirrored by APNIC from remarks: KRNIC. To obtain more specific information, please use the remarks: KRNIC whois server at whois.krnic.net. changed: hostmaster@nic.or.kr 20020909 source: KRNIC

日記目次へもどる